Verschlüsselter Ubuntu Homeserver Übersicht

Nachdem jahrelang ein Windows Homeserver gute Dienste geleistet hat sollte dieser ersetzt werden. Da das in die Tage gekommene Betriebssystem doch einige Schwächen aufwies sollte auch dieses ersetzt werden. So gab es zum Beispiel mit mehreren Netzwerkkarten Probleme beim Wiederherstellen der Backups, das Betriebssystem selbst kann nicht gesichert werden und außerdem wuchs der Wunsch die Festplatten zu verschlüsseln, da der Server die nächsten Jahre seinen Dienst tun soll und man nicht weiß wie sich die Netzpolitik unserer kompetenten Volksvertreter weiterentwickelt. Das Neue Betriebssystem muss also die folgenden Aufgaben des WHS gleichwertig ersetzen:

  1. Hohe Datenverfügbarkeit durch Duplizierung der Dateien auf verschiedene Festplatten
  2. Mehrere Festplatten werden zu einer großen zusammengefasst
  3. Strom sparen: Server schaltet sich automatusch aus wenn alle Clients ausgeschaltet sind
  4. Server wacht automatisch auf wenn ein Client angeschaltet wird
  5. Backup der Clients über Netzwerk
  6. Wiederherstellung der Clients inkl. Systemplatte über Netzwerk, auch wenn das Betriebssystemdefekt ist.
  7. Grafische Oberfläche um mit einem Browser Downloads zu starten.
  8. Wartung über Remote Desktop
  9. Fileserver für Windows PCs

Außerdem sollen die Festplatten verschlüsselt werden, ohne dass dadurch ein allzu grosser Komfortverlust entsteht.

Die Wahl fiel auf aktuelle LTS Desktopversion von Ubuntu

Punkt 1 & 2 werden durch ein Software Raid 5 erfüllt, welches sich leicht ohne Zusatzsoftware erstellen lässt

Punkt 3 lässt sich über ein einfaches Skript erledigen welches regelmäßig die Clients anpingt und per Cronjob aufgerufen wird.

Punkt 4 es wird ein Wake on Lan Tool per im Autostart der Windowsclients untergebracht

Punkt 5 Hierfür gibt es Tools wie Sand am Meer. Ich habe mich für Macrium Reflect Free Edition entschieden, da dieses auch Punkt 6 erfüllt

Punkt 6 Macrium Reflect Free Edition kann eine Linux oder Windows PE BootCD erstellen mit der ein Backup wiederhergestellt werden kann selbst wenn das Betriebssystem defekt ist.

Punkt 7 Deshalb die Desktop und nicht die Serverversion

Punkt 8 durch Free NX, welches im Gegensatz zu VNC verschlüsselt und ausserdem wie der MS Remote Desktop mit der Nativen Bildschirmauflösung des Clients arbeitet und nicht wie VNC einfach alles zusammenstaucht. So kann vom kleinen Netbook genausogut auf den Server zugegriffen werden wie mit dem FullHD Bildschirm am Desktop

Punkt 9 durch SAMBA

Verschlüsselung.

Ein Raidsystem zu verschlüsseln ist unter Ubuntu Out of the Box möglich. Allerdings soll der Server ohne Bildschirm, Tastatur und Maus laufen, so dass beim Booten kein Passwirt eingegeben werden kann. Aus diesem Grund habe ich auf eine Verschlüsselung der Systempartition verzichtet, da hier sowieso nur das Betriebssystem liegt. Auf eine Swap Partition habe ich ebenfalls verzichtet, da diese auch hätte verschlüsselt werden müssen, was wiederum die Eingabe eines Passworts zur nötiggemacht hätte. Mit 2 GB Ram ist bei einem Fileserver allerdings auch keine Swap Partition mehr nötig. Nun startet der Server von alleine um das Raidsystem mit den ganzen Daten zu entschlüsseln muss man sich auf dem per Free NX einloggen und das Passwort eingeben. Dieses dauerhaft zu speichern scheidet logischerweise aus, da sonst natürlich keinerlei Sicherheit gegeben ist.

Da dieses einloggen an einem Mediacenter PC nicht ohne Aufwand möglich, der Server aber nicht 24/7 durchlaufen soll musste ein vernünftiger Kompromiss zwischen Sicherheit und Komfort her, ohne das Passwort für die Verschlüsselung zu speichern. Dieser sieht folgendermaßen aus:

Nach dem ersten Booten muss man sich einloggen und die Festplatten entschlüsseln. Werden nun alle Clients heruntergefahren wird der Server nur in den Standby versetzt. Wird der Server nun vom Strom getrennt sind die Festplatten verschlüsselt und vor Zugriffen geschützt.

Wird der Server per Wake on Lan reaktiviert sind die Festplatten und damit auch die Netzwerkfreigaben automatisch wieder freigegeben. Da im normalen Betrieb kein User angemeldet ist hat man auch durch das anhängen eines Monitors nicht so einfach Zugriff auf diesen.


Creative Commons Lizenzvertrag
Dieser Artikel ist lizenziert unter einer Creative Commons Namensnennung 3.0 Deutschland Lizenz.


 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.